Introductie
In deze labo sessie kruipen we weer in de rol van white hat hacker die de Juice Shop die jullie vorige les hebben geïnstalleerd. Deze keer gaan we aan de hand van de tool BurpSuite het paswoord van de administrator brute force te hacken.
Wat ga je leren in dit labo?
- Installeren van BurpSuite.
- Brute force hacken van een paswoord.
Stappenplan
Open de registratie pagina van de juice shop web applicatie
Zijn alle paswoorden die je hier kan ingeven ‘sterke paswoorden’? Zo niet, wat is er mis?
Eerste tip
Kijk op het hoofdstuk over paswoorden.
Open je browser en ga naar de volgende website
en download de Community Edition van BurpSuite voor jouw platform.
Bekijk het filmpje over het installeren en de werking van BurpSuite proxy.
Vooraleer we kunnen beginnen met het kraken van het admin paswoord, moeten we op zoek gaan naar het email adres van de administrator.
Eerste tip
De email adressen van de gebruikers kan je gewoon uitlezen in de reviews van producten.
We gaan uiteraard niet zelf alle mogelijkheden proberen. We gaan hier gebruik maken van een paswoord list. Ga naar de website
https://github.com/danielmiessler/SecLists/tree/master/Passwords/Common-Credentials
Dit is een grote collectie aan text bestanden die allemaal onveilige paswoorden bevatten. Voor deze beperkte opgave hoef je alleen
best1050.txtte downloaden.Start Burp Suite op en gebruik de proxy om de request op te vangen waarmee je probeert mee in te loggen (Zie filmpje hierboven).
Neem een screenshot van deze request en sleep deze hier onder in:
Gebruik deze request in de Intruder tool door op actions te klikken en vervolgens op ‘send to intruder’ te klikken. Ga vervolgens naar de intruder tab.
Zorg ervoor dat alleen het paswoord variabel is.
Eerste tip
Zorg ervoor dat er alleen bij het paswoord een § symbool staat.
Ga naar de payloads tab en zorg ervoor dat je de file
best1050.txtgebruikt als paswoord lijst.Start de aanval en maak een screenshot als het paswoord gevonden is.
Sleep de screenshot hier onder in:
Opmerking: Na maximum 200 pogingen zou het paswoord gevonden moeten zijn. Duurt dit langer, dan ben je op het foute spoor.
Vindt je dit een goed paswoord? Waarom wel/niet?
Spoor net zoals in vorig labo de ‘administration’ pagina op en log in met de admin email en paswoord. Neem hier een screenshot van en sleep deze hier onder in:
Print deze pagina af als PDF en zend deze via digitap in.
Opmerking: Als dit niet lukt maak dan een zip file en stuur deze door.